Conformidade da segurança dos dados com as regras de integridade do mercado da ASIC na Austrália

Resumo da norma

As regras de resiliência tecnológica e operacional do Instrumento de Alteração 2022/74 das Regras de Integridade do Mercado da ASIC (Mercados de Valores Mobiliários e Mercados de Futuros) entraram em vigor em 10 de março de 2023 e estabelecem expectativas e controlos mínimos para atenuar os riscos tecnológicos e ajudar a salvaguardar a integridade e a resiliência dos mercados australianos. O regulamento também:

• introduz obrigações adicionais para os participantes no mercado e os operadores no que diz respeito à resiliência tecnológica e operacional
• reforça o foco regulamentar mais abrangente na dissuasão de sistemas inadequados e na gestão e controlos operacionais
• cria um maior alinhamento com as normas internacionais e outras normas nacionais
• acrescenta aos requisitos existentes impostos às entidades em matéria de segurança da informação e de resiliência operacional, tais como a norma prudencial CPS 234 da APRA: Segurança da informação.

Quem precisa de cumprir as Regras de Integridade do Mercado da ASIC?

• Mercados de valores mobiliários: ASX, Chi-X, NSXA, SSX e os respetivos participantes
• Mercados de futuros: ASX 24, FEX e os respetivos participantes

A Thales ajuda os participantes no mercado a lidar com a alteração dos Requisitos de Segurança da Informação das Regras de Integridade da ASIC.

• As soluções de gestão de identidade e acesso OneWelcome da Thales limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com autenticação forte (MFA), políticas de acesso granular e políticas de autorização de granularidade fina.
• Os cartões inteligentes SafeNet IDPrime podem ser utilizados para implementar o acesso físico a instalações sensíveis. Estes cartões inteligentes podem também melhorar as iniciativas de autenticação sem palavra-passe dependentes das tecnologias PKI e FIDO.
• O SafeNet Trusted Access permite que as organizações respondam e reduzam os riscos, fornecendo uma pista de auditoria imediata e atualizada de todos os eventos de acesso a todos os sistemas, que transmite automaticamente os registos para sistemas SIEM externos.
• O CipherTrust Data Discovery and Classification identifica com eficiência dados confidenciais estruturados e não estruturados, fornece modelos integrados que permitem a rápida identificação de dados regulamentados, destaca riscos de segurança e ajuda a descobrir lacunas de conformidade.
• A CipherTrust Data Security Platform aplica políticas muito granulares de gestão do acesso de utilizadores menos privilegiados, permitindo a proteção dos dados contra o acesso não autorizado de utilizadores com privilégios ou invasores.
• A solução CipherTrust Transparent Encryption protege os dados com encriptação de dados em repouso ao nível dos ficheiros e dos volumes, controlos de acesso e registo de auditorias de acesso aos dados, sem necessidade de reestruturar as aplicações, as bases de dados ou a infraestrutura. A MFA para o CipherTrust Transparent Encryption solicita aos administradores de sistemas e aos utilizadores com privilégios que demonstrem fatores adicionais para além de uma palavra-passe antes de obterem acesso a dados confidenciais, para minimizar a possibilidade de um utilizador desonesto conseguir passar.
• O CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) monitoriza de forma contínua os processos no que diz respeito a atividades anormais de E/S e alerta ou bloqueia a atividade maliciosa antes que o ransomware se possa apoderar completamente dos seus terminais e servidores. Monitoriza processos ativos para detetar ransomware – identificando atividades como acesso excessivo a dados, exfiltração, encriptação não autorizada ou representação maliciosa de um utilizador, e alerta/bloqueia quando tal atividade é detetada.